Comment Microsoft gère la sécurité de ses offres de Cloud public

705 vues

Publié le

Vous vous posez des questions sur la sécurité des offres Cloud Microsoft ? Sur la localisation des data centers, sur le respect de la vie privée, sur la fiabilité et plus globalement sur les mesures de sécurité mises en œuvre ? Dans cette session, nous allons balayer les questions les plus fréquentes qui nous sont posées. Dans la première partie, nous ferons un tour d’horizon des ressources en ligne et nous mettrons en évidence les points les plus intéressants. Dans la seconde partie, nous vous expliquerons comment Microsoft gère et maintient la conformité, nous vous détaillerons les éléments de sécurité physique et logique des data centers Microsoft. Enfin, nous vous présenterons les critères de choix édictés par le Cloud Security Alliance.

  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Comment Microsoft gère la sécurité de ses offres de Cloud public

  1. 1. SEC 201 Comment Microsoft gère la sécurité de ses offres de Cloud public Jean-Yves Grasset, Arnaud Jumelet, Direction Technique Microsoft FranceCloud
  2. 2. Donnez votre avis ! Depuis votre smartphone, sur : http://notes.mstechdays.fr De nombreux lots à gagner toutes les heures !!! Claviers, souris et jeux Microsoft… Merci de nous aider à améliorer les TechDayshttp://notes.mstechdays.fr
  3. 3. Les services Cloud Microsoft Software as a Service (SaaS) Platform as a Service (PaaS) Infrastructure as a Service (IaaS) Global Foundation Services Data Centers Operations Global Network Security
  4. 4. Le Cloud Microsoft en quelques chiffres
  5. 5. Le Cloud Microsoft en quelques dates SSAE 16 FISMA Infrastructure ISO 27001 SAS-70 Security Development Lifecycle Trustworthy Computing Global Foundation Services 1er Data Center Services de type Cloud 1989 1994-95 1997 2002 2004 2006 2008 2011 2012 2013
  6. 6. NIST, ENISA et CSA sur la sécurité duCloud
  7. 7. Chapitre 1TRUST CENTER OFFICE 365
  8. 8. TrustCenter Office 365 http://www.microsoft.com/fr-fr/office365/trust-center.aspx http://trust.office365.com/ (version EN)
  9. 9. TRUSTCENTER OFFICE 365
  10. 10. Conformité Office 365Conformité/ CertificationsOffice 365 • ISO/IEC 27001:2005 • Clauses Contractuelles Types (EU Model Clauses) • Accord de traitement des données (DPA) • HIPAA • SSAE16-SOC1 Type IIDataCenter (Centre de • ISO/IEC 27001:2005,données) • SSAE16 SOC1 Type II/SAS 70 Type II SOC2 Type II SOC3 • FISMAMicrosoft Safe Harbor
  11. 11. Conformité Office 365 : ISO 27001• ISO 27001 – Norme internationale de système de gestion de la sécurité de linformation (2005) – Décrit les exigences pour la mise en place dun Système de Management de la Sécurité de lInformation (SMSI) – Annexe A : 133 mesures de sécurité de la norme ISO/CEI 27002• Certification par le British Standards Institution – Certification sur 3 ans, audit annuel• Importance du périmètre
  12. 12. Conformité Office 365 : EU Model Clauses• EU Model Clauses – Traite de l’autorisation du transfert des données personnelles en- dehors de l’Union Européenne – Atteste du respect de la conformité avec la directive européenne 95/46/EU sur la protection des données – les organismes de réglementation ont la possibilité de bloquer lutilisation dun service qui ne répond pas à potentiellement la directive européenne sur la protection des données
  13. 13. Conformité Office 365
  14. 14. Chapitre 2MICROSOFT COMPLIANCEFRAMEWORK FOR ONLINESERVICES
  15. 15. Organisation de la conformité INDUSTRY STANDARDS AND REGULATIONS • ISO/IEC 27001:2005 • Sarbanes-Oxley • EU Model Clauses • PCI-DSS • FISMA/NIST 800-53 • HIPAA, etc CONTROLS FRAMEWORK PREDICTABLE AUDIT SCHEDULE • Identify and integrate • Test effectiveness and assess risk • Regulatory requirements • Attain certifications and attestations • Customer requirements • Improve and optimize • Assess and remediate • Examine root cause of non-compliance • Eliminate or mitigate gaps in control design • Track until fully remediated CERTIFICATION AND ATTESTATIONS • ISO / IEC 27001:2005 certification • PCI DSS certification • SSAE 16/ISAE 3402 SOC 1, 2 and 3 • FISMA certification and accreditation • And more …
  16. 16. Diversité des défenses IDENTITE ET SECURITE DE GESTION DES APPLICATION L’HÔTE ACCES 24x7x365 Réponse à incident
  17. 17. Transparence
  18. 18. Chapitre 3DATACENTER MICROSOFT: LAPLOMBERIE
  19. 19. Evolutions des datacenters Microsoft 1989-2005 2007 2008 2011+ Generation 1 Generation 2 Generation 3 Generation 4 Colocation Densité Confinement Modularité Containers, PODS ITPACs & Colos Capacité Densité et Déploiement Scalabilitéet Durabilité Réduction des émissions carbone ~2 PUE 1.4 – 1.6 PUE 1.2-1.5 PUE Dimensionnement au plus juste Technologie utilisée depuis 20 Minimisation de l’impact en Economie Air & Eau 1.05 – 1.20 PUE ans ressource SLA différenciés Adaptation rapide au marché Refroidissement air extérieur
  20. 20. Visite guidée des datacentersVIDEO http://www.globalfoundationservices.com/
  21. 21. Chapitre 4CLOUD SECURITY ALLIANCE / STAR
  22. 22. Cloud Security Alliance(CloudSecurityAlliance.org)
  23. 23. CSA-STAR
  24. 24. RFI Office 365 • Réponses aux exigences de la matrice CCM (Cloud Control Matrix) de la Cloud Security Alliance • En version anglaise et française • Couverture des exigences ISO 27001 • Exigences matrice CCM http://www.microsoft.com/fr-fr/download/details.aspx?id=26647
  25. 25. Chapitre 5SYNTHÈSE
  26. 26. Ce que nous vous avons parcouruensemble
  27. 27. Critères de choix d’un fournisseur de Cloud Connaître la valeur des Exiger que le fournisseur ait Comprendre la répartition des données, des processus métiers obtenu des certifications et des rôles et des responsabilités ainsi que les obligations de rapports audits, par exemple, avec le fournisseur de service conformité que vous devez ISO/IEC 27001:2005. Cloud. respecter. Considérer l’agilité du Sassurer que les données et Exiger la transparence dans les fournisseur Cloud à sadapter les services peuvent être politiques de sécurité et les aux nouvelles rapatriés facilement. opérations. réglementations.
  28. 28. • Merci de votre attention!Merci de votre attention !
  29. 29. Pour aller plus loin• Global Foundation Services Web Site & Team Blogs – www.globalfoundationservices.com• Windows Azure – http://www.windowsazure.com• Office 365 – http://www.office365.com

×